HOME情報セキュリティWinnyによる情報漏えいを防止するために

本文を印刷する

情報セキュリティ

Winnyによる情報漏えいを防止するために

-漏れているのは、官公庁や大企業の情報だけではない-

独立行政法人 情報処理推進機構
セキュリティセンター

1.Winnyネットワークを介して感染するウイルス(W32/Antinny)の特徴

 官公庁や大企業の取り扱う個人情報や機密情報等が職員等の私有または私用パソコン(以下「私有パソコン」という。)から漏えいする事件が、毎日のようにニュースに取り上げられています。

 報道によると、漏えいした情報の種類こそ違いますが、ほとんどの事件に共通している点は、職員がファイル共有ソフト(注1) Winnyを導入(インストール)した私有パソコンに、官公庁や企業等で取り扱う個人情報や機密情報等をコピーし、使用していたところ、ウイルス(W32/Antinny)に感染し、情報漏えいしたという点です。

 (注1)インターネットを利用して、不特定多数のユーザ間でファイルを共有できるソフトウェア。

 Winny経由で情報が漏えいする仕組みを、図1.1に示します

Winny情報漏えいのイメージ

図1.1 Winny経由で情報が漏えいする仕組み

 ウイルス(W32/Antinny)に感染すると、パソコン内の送受信メールやWordやExcel等のデータファイルが、パソコン内の公開フォルダにコピーされてしまいます。公開フォルダにコピーされたファイルは、世界中のWinny利用者が入手できる状態になったということです。
 図1.1に示すように、インターネット(Winnyのネットワーク)に流出したデータは、不特定多数のWinny利用者が保有することになり、回収することは不可能です。
このため、情報漏えいを未然に防ぐことがとても重要です。

 なお、中小企業や個人事業者、一般の個人ユーザの情報漏えいがニュースに取り上げられないのは、漏えいした情報がどこからのものか特定できない、重要ではないと考えられたなどニュース性が低いため報道機関が取り上げなかっただけと考えられ、情報漏えいがないということではありません。
 情報漏えい問題は、他人事と考えずに、自分に当てはめて考えていただくことが重要です。

 公表されたWinny経由での情報漏えい事件には、次のような原因と対策が挙げられます。

  • 予算の関係でパソコンの割り当てが不足していて、私有パソコンを使っていた。

    → 私有パソコンを使わないように再徹底する。

  • 情報を持ち出さないようルールはあったが、徹底されていなかった。

    → ルールを再徹底し、チェックを強化する。

  • ウイルスに感染していることに気づいていなかった。

    → ウイルス対策の重要性を再徹底する。

貴方には当てはまりませんか?!

2.具体的な対策・その1:予防策

IPAが提供する、「情報漏えい対策ツール」をご利用ください。こちらから、利用申し込みができます。

 

情報漏えい対策ツールは、ファイル共有ソフト(Winny、Winnyp、Share)による『情報漏えい』を防ぐためのソフトウェアです。例えば、家族で共有している自宅のパソコンや企業・組織のパソコンに情報漏えい対策ツールをインストールすることで、そのパソコン上におけるファイル共有ソフトの実行を禁止することができます。また、企業や組織などの情報漏えい対策で、自宅のパソコンにファイル共有ソフトがインストールされていないことを証明することにも利用できます。

 Winnyからの情報漏えいを防ぐには、次のような対策が考えられ、それらを組み合わせて実施することが有効と考えられます。

  • (1)漏えいして困る情報を取り扱うパソコンには、Winnyを導入しない。
  • (2)職場のパソコンに許可無くソフトウェアを導入しない、または、できないようにする。
  • (3)職場のパソコンを外部に持ち出さない。
  • (4)職場のネットワークに、私有パソコンを接続しない、または、できないようにする。
  • (5)自宅に仕事を持って帰らなくて済むよう作業量を適切に管理する。
  • (6)職場のパソコンからUSBメモリやCD等の媒体に情報をコピーしない、またはできないようにする。
  • (7)漏えいして困る情報を許可無くメールで送らない、または、送れないようにする。
  • (8)ウイルス対策ソフトを導入し、最新のウイルス定義ファイルで常に監視する。
  • (9)不審なファイルは開かない。

 パソコンの管理者や利用者が自ら実施できる対策もあれば、上司が行うべき対策もあります。また、職場のルールを変えたり、ネットワークシステムや設備の変更を伴う対策もあります。どの対策を組み合わせるかは、簡単なもの、効果がありそうなものというような単純な選択ではなく、取り扱う情報と漏えい時の影響、導入コスト等を考慮し総合的に検討することが重要です。

 官公庁や企業等においては、個人情報や機密情報等の情報漏えいを防ぐためにどのような対策を行うべきか、管理的対策と技術的対策について具体的にまとめてみます。 次にあげる対策のポイントを参照し、あらためて情報の扱いについて確認し、トラブルの発生を未然に防ぐよう対処してください。

1.管理的対策のポイント(パソコン利用のルールを作って運用)

  • (1)ファイル共有ソフトの使用条件を定めておく

     組織(委託先を含む)で業務に用いるパソコンについては、ファイル共有ソフトの使用条件を定めておくことが重要です。
    パソコン内の情報が漏えいする危険性を考慮すると、個人情報や機密情報等が保存されているパソコンではファイル共有ソフトの使用は控えるべきです。

    • (a)業務に必要ということでファイル共有ソフトを使用しているパソコンはないか?

      業務に無関係な目的で導入しているソフトウェアは削除すべきです。

    • (b)ファイル共有ソフトの使用を許可したパソコンに許可した範囲以外のファイルが保存されていないか?

      使用が許可される場合であっても、個人情報や機密情報等が保存されているパソコンへインストールするべきではありません。ウイルス感染や誤操作により、公開用フォルダ以外の場所に格納されている個人情報や機密情報等が外部に流出してしまう危険性があります。

    • (c)ファイル共有ソフトの管理は充分に行っているか?

      定められた使用方法、使用条件に適合しているか、常に管理する必要があります。

  • (2)私有パソコンの利用条件を定めておく

     私有パソコンは、組織として管理することが難しく、業務で使用することは望ましいとは言えません。更に、私有パソコンで個人情報や機密情報等を取り扱わせることは、きわめて危険で避けるべきです。しかし、やむをえず私有パソコンを業務に使用する場合は、管理について定めておくことが重要です。

    • (a)私有パソコンを職場に持ち込んで使用したり、職場のネットワークに接続することについてのルールを定めているか?

      業務に無関係な目的で使用すべきではありません。

    • (b)私有パソコンを利用することを許可制にしているか?

      扱う情報の範囲や期間などを明確にして許可する必要があります。
      その私有パソコンに許可された利用範囲を、管理者が確認できるようにすべきです。
      私有パソコンの許可は自動延長ではなく、定期的に再審査すべきです。

    • (c)私有パソコンを職場から持ち出す場合のチェックは十分か?

      個人情報や機密情報等を取り扱う私有パソコンを職場から持ち出すことは、パソコン内の情報が漏えいする危険性が高く、許可するべきではありません。相応の理由で持ち出す場合は、個人情報や機密情報等が内在していないかをチェックし、職場外での利用形態や窃盗や紛失でも情報漏えい対策(暗号化等)が 十分であるかチェックする仕組みが必要です。

  • (3)個人情報や機密情報等の外部への持ち出しについてのルールを定めておく

    個人情報や機密情報等を含む業務情報を記録媒体などにコピーして外部に持ち出すことは、外部のパソコンからの情報漏えいや記録媒体の紛失などのリスクがあり、厳に避けるべきです。 しかし、やむをえず持ち出す場合には、次のような厳重な管理をすることが重要です。

    • (a)個人情報や機密情報等を含む業務情報を記録媒体などにコピーして外部に持ち出すことについてルールはあるか?

      手続きが煩雑なために手続きをしないことが起きては意味がありません。
      また、形式的な手続きで、不要な持ち出しが許可されないよう注意する必要があります。ルールの運用にあたっては、職場外で作業するために持ち出すことを十分確認してください。

    • (b)持ち出しが認められた情報以外の情報が含まれていないか?

      記憶媒体などにコピーされた業務情報の中に、許可された情報以外の情報が含まれていないか確認することも重要です。簡単に情報を確認できるように、ファイル名のつけ方のルールや、ファイル名等から検索できるデータベースの整備が有効です。

    • (c)記憶媒体などにコピーされて外部に持ち出された個人情報や機密情報等を管理できるか?

      外部に持ち出した記憶媒体を取り扱う外部のパソコンがウイルス等に感染していて情報漏えいすることがないようにすることが重要です。
      このため、外部のパソコンを利用して当該業務情報を取り扱った後、外部のパソコン等に当該業務情報が残らないようにする手順を定める必要があります。
      実際の事件において、数年前に個人情報や機密情報等を取り扱った私有パソコンの該当ファイルは削除したはずと思いこんでいたパソコンにWinnyをインストールしたことにより、削除したはずのファイルが漏えいするという事例がありました。

  • (4)職場におけるクライアントパソコンのウイルス対策状況を把握しておく

     サーバーを介さずに P2P(注2)により外部と接続することが可能なクライアントパソコンは、サーバーの段階でウイルスチェックがされていても、クライアントパソコンにウイルス対策ソフトを導入していなければ感染被害に遭ってしまいます。
     新種や亜種のウイルスに対応するために、ウイルス対策ソフトのパターンファイルの更新を定期的行うことが肝要です。

    (注2)P2P(Peer to Peer) 不特定多数の個人間で、サーバーを介さずに、直接データのやり取りを行うインターネットの利用形態。

  • (5)職員へウイルス対策の重要性を再認識させる

     ニュースに取り上げられているWinny経由での情報漏えい事件のほとんどは、私有のパソコンを業務に使うことにより被害が起きていることから、職員に対するウイルス対策の重要性の教育を繰り返し行うことが重要です。

    • (a)Winnyによる情報漏えい事件の主な発生要因を十分理解させる
      • (i).自分で、自分のパソコンにWinnyを導入(インストール)した。
      • (ii).自分で、ウイルス(W32/Antinny)と知らずにクリックしてしまい、自分のパソコンに感染した。
      • (iii). 自分で、自分のパソコンに個人情報や機密情報等をコピーする。
        但し、家族でパソコンを共用している場合は、(i)と(ii)は、家族かもしれません。
    • (b)自分は大丈夫だ、自分には関係ないということは間違いであることの意識改革をさせる

      ニュースに取り上げられている事件の関係者の多くが、自分は大丈夫だとの意識でした。
      自分が扱っている個人情報や機密情報等が漏えいした場合や、ルールがあってもそれを守らない人がいれば、大きな被害をもたらすことを認識させることが大切です。

    • (c)セキュリティ対策製品やサービスも完全ではないことを理解させる

      ウイルス対策製品やサービスを使用したり利用していても、必ずしもすべてのウイルスを防ぐことはできません。

2.技術的対策のポイント

 以下の技術的対策は、オペレーティングシステム(OS)の機能として提供されるものと、ツールを導入して運用するものがあります。

  • (1)重要情報はアクセス制限を設ける
    • (a)WindowsXP/2000/NT等のNTFS(New Technology File System)というファイル管理システムがあります。これを使ってハードディスクのファイルを管理している場合、特定のファイルやフォルダに対して、ログインアカウント毎に、アクセス権限を設定することができます。
    • (b)MS-Word や EXCEL のようなアプリケーションプログラムにおいても、「ファイル」->「アクセス許可」メニューから当該ファイルのアクセス権を設定することが可能です。
    • (c)市販またはフリーソフトウェアにも、独自の方式により、アクセス制限を設定できるものがあります。
  • (2)重要な情報はコピー制限を設ける
    • (a)市販またはフリーソフトウェアにより、コピー制限を設定できるものがあります。
  • (3)重要な情報は暗号化しておく
    • (a)WindowsXP/2000/NT等のNTFSというファイル管理システムを使ってハードディスクのファイルを管理している場合、まず特定のフォルダを暗号化フォルダと指定します。その暗号フォルダに他のファイルを移動すると、移動したファイルが暗号化され、移動を行った本人だけが開くことができるようになります。
    • (b)MS-Word や EXCEL のようなアプリケーションプログラムにおいては、「ツール」->「オプション」メニューの「セキュリティ」タグから、当該ファイルのパスワードを設定することが可能で、保存したファイルは自動的に暗号化されます。
    • (c)市販またはフリーソフトウェアを使い、ファイルを暗号化できます。
  • (4)USBメモリ、CD-R、FDの利用制限を設ける
    • (a)市販またはフリーソフトウェアにより、外部記録媒体へのアクセス制限を設定できるものがあります。
  • (5)私有パソコンの企業内ネットワーク接続に制限を設ける
    • (a)ネットワーク管理ソフトにより、未登録のパソコンを企業内ネットワークに接続させない制限を設定できるものがあります。

3.具体的な対策・その2:対処方法

1.ウイルス(W32/Antinny)の感染を確認する方法

  • (2)マイクロソフト社の「悪意のあるソフトウェアの削除ツール」を使い、ウイルスの検索と駆除を行うことができます。

2.情報が漏えいしているかを確認する方法

  • (1)Winnyを使っている場合、公開用の「UP」フォルダになんらかのファイルが保存されていて、それが自分の指定したファイルでなければ、漏えいしている危険性が高いです。また、UP フォルダになくても、 Winnyが保存されているフォルダにある「 UpFolder.txt 」というファイルに他のフォルダが公開用として指定されてしまっている可能性もあります。当該ファイルを開いて、記載内容を確認し、UP フォルダ以外に指定されているフォルダがないか確認してください。
  • (2)自社の情報がWinnyネットワークに流出していないかを確認するには、Winnyを利用してやり取りされているファイルをダウンロードして確かめるしか方法はありません。各種報道を見ていると、他者から指摘されて気付くケースがほとんどです。Winnyネットワークで流れているデータを検索してくれるサービスもあるようです。このようなサービスを利用して、自社の情報がないか確認する方法もあります。

3.Winnyがインストールされているかを確認及び削除する方法

  •  以下のセキュリティベンダー等から、Winny そのものを検出するツールが無償で提供されています。ツールを使用し、 Winnyとして検出されたファイルをすべて削除してください。また、検出されたファイルがWinny.exeの場合は、そのファイルが入っていたフォルダをまるごと削除して下さい。 これは、 Winny を起動した際にWinny.exeと同じフォルダ内に設定ファイルが作られますので、これらのファイルも削除するためです。
  •  Windows XP等で、複数のユーザーで1台のPCを使用している場合、各ユーザーアカウント毎に同様の検出、削除の処置を行って下さい。

     なお、上記サイトおよびそのリンク先内容の利用によって生じたトラブル・損失・損害には、当機構では一切責任を負いかねます。あくまでも自己責任の下、自己判断でご利用ください。

4.ウイルス(W32/Antinny)により情報漏えいしていることが発覚した場合の対応

  • (1)当該パソコンをネットワークから切り離す
  • (2)Winnyを削除する前に、漏えいしたファイルを特定する
  • (3)以後の調査のために、漏えいしたファイルをCDやDVD等の記憶媒体にコピーする
  • (4)漏えいしたファイルの中の個人情報、機密情報を特定する
  • (5)官公庁や企業等組織の情報ファイルである場合は、当該組織に速やかに報告する
  • (6)ウイルス対策ソフトでスキャンし、感染した原因を特定する(Antinny亜種の特定)
  • (7)当該パソコン上で保存すべきデータをバックアップする
  • (8)ウイルスを駆除する、または、パソコンをリカバリする(初期状態へ戻す)
  • (9)IPAに、ウイルス被害を届出る

5.留意事項

  • (1)以上のWinny対策は、主として職場における対策です。
    職場の個人情報や機密情報等を自宅のパソコンにコピーしなければ情報漏えいしないということではありません。
    家族や友人の個人情報が漏えいする可能性は同じです。Winnyを導入したパソコンには、情報漏えいのリスクがあり、ウイルス対策が必要です。
  • (2)Winnyを使っていなければ情報漏えいしないということではありません。例えば、2006年2月下旬に発見された通称「山田オルタナティブウイルス」は、Webサーバ機能を内蔵しており、感染したパソコンの内容をWebサイトという形式でインターネットから参照できるようにした後、そのパソコンへのリンクを掲示板サイト「2ちゃんねる」に貼り付けることで情報漏えいを行います。
    このように、Winnyに感染するウイルス(W32/Antinny)以外にも情報漏えいするウイルスが出現していますので、ウイルス対策を行うことが情報漏えいを防止するために大変重要です。

 Winny(ファイル共有ソフト)やそれを悪用するウイルス(W32/Antinny)に関する相談は、「情報セキュリティ安心相談窓口」でお答えします。

お問い合わせ先

IPA 情報セキュリティ 安心相談窓口
TEL:03-5978-7509 FAX:03-5978-7518
E-mail: anshin@アイピーエー.go.jp
     ※このメールアドレスに特定電子メールを送信しないでください。

更新履歴

2011年 3月31日 2.具体的な対策・その1:予防策 および 3.具体的な対策・その2:対処方法 3.Winnyがインストールされているかを確認及び削除する方法 および FAXによる提供情報のPDFファイル に、IPA「情報漏えい対策ツール」の情報を追加
2011年 3月 2日 3.具体的な対策・その2:対処方法 3 .Winnyがインストールされているかを確認及び削除する方法 の、利用できなくなった対策ツールの情報を削除
2011年 3月 1日 3.具体的な対策・その2:対処方法 3 .Winnyがインストールされているかを確認及び削除する方法 の株式会社アークンの製品のダウンロードURLをVectorに変更
2010年10月19日 「Winny 緊急相談窓口(Winny119番)」を「情報セキュリティ安心相談窓口」に統合
2007年 7月30日 3.具体的な対策・その2:対処方法 2 .情報が漏えいしているかを確認する方法 に株式会社ディアイティのサービスを追記
2006年 4月18日 3.具体的な対策・その2:対処方法 3.Winnyがインストールされているかを確認する方法 のタイトル、内容を更新
2006年 4月 4日 3.具体的な対策・その2:対処方法 3.Winnyがインストールされているかを確認する方法 の内容を更新
2006年 3月30日 3.具体的な対策・その2:対処方法 の内容を更新
「Winny緊急相談窓口」、PDFファイルのダウンロード、FAQのリンクを追加
2006年 3月13日 留意事項の文章を一部修正
2006年 3月10日 掲載